3장. 암호화 및 키 관리

OpenStack 배포에서 네트워크 트래픽의 기밀성 또는 무결성을 보장하기 위한 보안 요구 사항이 있는 경우가 있습니다. 일반적으로 TLS 프로토콜과 같은 암호화 측정값을 사용하여 이를 구성합니다. 일반적인 배포에서는 공용 네트워크를 통해 전송된 모든 트래픽이 보안 강화되어야 하지만 보안상의 모범 사례에서는 내부 트래픽도 보호해야 합니다. 보호를 위해 보안 영역 분리에 의존하는 것은 충분하지 않습니다. 공격자가 하이퍼바이저 또는 호스트 리소스에 액세스하거나 API 엔드포인트 또는 기타 서비스를 손상시키는 경우 메시지, 명령 또는 기타 관리 기능을 쉽게 삽입하거나 캡처할 수 없어야 합니다.

보안은 관리 영역 서비스 및 서비스 내 통신을 포함하여 TLS로 모든 영역을 강화해야 합니다. TLS는 OpenStack 서비스에 대한 사용자 통신의 인증, 비요청, 기밀성 및 OpenStack 서비스 자체 간의 무결성을 보장하는 메커니즘을 제공합니다.

SSL(Secure Sockets Layer) 프로토콜에서 게시된 취약점으로 인해 더 이상 사용되지 않는 브라우저나 라이브러리와의 호환성이 필요하지 않은 한, SSL보다 TLS 1.2 이상을 사용하는 것이 좋습니다.